[原创文章] 拿XP网站程序

程序

出处：B.H.S.T9 \, B: R& A3 b" `9 e( z4 P
作者：by:khjl1
5 o1 ]4 B8 j$ U* t3 r2 r/ Q
群里有位兄弟发了个站3 N% s" x# ], d0 o2 f( t
说那站程序不错~想要个源码0 W0 j  w. t: m  U" e5 j4 B( H
http://www.sucsjz.cn/xp/
打开站点看下4 J4 X, |: ~: p* f# k
0 r6 F! b# x& O( N8 @6 t' B% w' l" b

确实蛮不错的~
随便看了下  没发现有什么可以利用的
打开G.cn site:www.sucsjz.cn
找到了这个http://www.sucsjz.cn/qzone/
8 H- s0 J3 a# a3 A; r
. `! W- i! [7 a' X: q& B
嘿嘿加了下admin 不存在
admin_login.asp
admin admin. F" D; V5 y! W
进后台了7 E+ ?1 U' Z6 d: _9 j* M/ j
粗略看了下  没上传
有数据库压缩。
看到数据库地址~
访问之.7 B3 x' u0 f% l, t
1 A% Z2 T; l) m1 i% f* B, Q  A+ e
%>没闭合  汗...
于是找了下源码8 w8 C5 ^8 P% p$ \$ Q9 W/ p( ?
搜索数据库名就找到了& x0 M4 y" C6 R1 o: H
本地搭建了下访问数据库

2 w, |7 [: K: f/ @) f
用记事本打开了数据库( G$ c3 F" P' L" y! h2 l
搜索<%1 {9 \* ]0 t( x. l2 }2 b

呵呵可以在表情的地址那里插入%>来闭合他~; K" }2 u( }2 ^- h2 i
本地试了下
再次访问数据库
还是出错% v* T( P1 n- z/ j

%无效字节
搜索%3 W% @6 ^# l# S7 R* S# E' ^  {; X: s

看了下$ E( G) l7 I" X( ]2 P
发现%应该是在用户信息' r5 Q8 I) D4 N) ^3 L5 E# w% E9 s! a
所以把所有的用户信息都X了...
再次访问
一片乱码  哈哈, M! U. I4 r- e7 A1 |
: I6 w7 p# f8 \. b
OK了   R6 U- P2 c/ D6 c8 c1 ~9 S. q+ P
到网站那按本地那样闭合%>以及删掉%
访问之
插入一句话5 \, T. r% {3 e% |) M8 @* [
连接( {3 H7 w  p) t' H
就这样拿下SHELL了
打包XP程序..+ T/ F3 B. j+ d2 s, B9 G
闪人.

下到本地一看2 Q. r" V+ J7 [2 ]5 |
发现那个XP程序本身就可以容易的拿下SHELL了( P9 _1 I, Y: |; n
只是最开始没有想到...呵呵
太大了  传不上算了~

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

1 评分人数